管理コンソールのログインページは admin.google.com(accounts.google.com にリダイレクトされます)で、個々の Google サービスのログインページは [サービス].google.com/a/example.com です。ドメインで SSO を設定した場合、ログインするユーザーに特権管理者の権限があるか、およびドメインでネットワーク マスクを使用しているかによって、これらのページの動作が異なります。
特権管理者の権限でログインする
管理コンソール
特権管理者が admin.google.com から SSO 対応のドメインにログインする際は、(SSO のユーザー名とパスワードではなく)Google 管理者アカウントの完全なメールアドレスと関連付けられた Google パスワードを入力する必要があります。[ログイン] をクリックすると、管理コンソールに直接アクセスできます。SSO ログインページにはリダイレクトされません。
Google ドライブ同期クライアント
特権管理者が Google ドライブ同期クライアントにログインすると、SSO は省略されます。特権管理者は SSO ログインページにリダイレクトされません。ブラウザ、モバイルアプリ(iOS のドライブ アプリや Gmail アプリなど)、Android でのアカウント有効化の処理などでログインしようとした場合も、同様に SSO ログインページにリダイレクトされません。
ドメイン固有の URL を使用する Google サービス
特権管理者は、次の場合に、SSO を使用してドメイン固有の URL(mail.google.com/a/example.com など)で Google サービスにログインできます。
- ドメインで、[組織向けのサードパーティの SSO プロファイル] を使用している場合。また、ドメインでネットワーク マスクを使用している場合は、ネットワーク マスク内にいる必要があります。
- [ドメイン固有のサービスの URL] 設定が [ユーザーをサードパーティの IDP に自動的にリダイレクト] に設定され、SSO プロファイルが [組織の SSO プロファイル] に設定されている場合。
別の SSO プロファイル(組織の SSO プロファイルではない)を使用している場合、IdP を介したドメイン固有の URL への特権管理者ログインはサポートされていません。[ドメイン固有のサービスの URL] の設定で、ユーザーをその SSO プロファイルに自動的にリダイレクトするように設定している場合、ドメイン固有の URL にログインするとログインエラーが発生します。
特権管理者が SSO でログインできるその他のケース
ドメインで組織向けのサードパーティの SSO プロファイルを使用している場合、特権管理者は次のような状況でも SSO でログインできます。
- IdP によって特権管理者のログインが開始された場合(IdP を起点とする SSO)。
- 特権管理者が最初に特権管理者以外のアカウントを使用して Google にログインし、IdP にリダイレクトされたときに特権管理者の認証情報を入力する場合。この場合、Google は IdP からの特権管理者の ID アサーションを受け入れます。
